Prompt Injection hücumu nədir?

Prompt Injection hücumu nədir?

Süni intellekt əsaslı sistemlərin, xüsusilə dil modelləri və çat-botların geniş tətbiqi ilə paralel olaraq, bu texnologiyalara yönəlmiş yeni nəsil kibertəhlükələr də formalaşmaqdadır. Bu təhlükələrdən biri Prompt Injection hücumudur.

Prompt Injection, süni intellekt sisteminə ötürülən sorğulara və ya mətn kontekstinə qəsdən manipulyativ göstərişlərin daxil edilməsi yolu ilə modelin mətnə əsaslanan qərarvermə mexanizminin yanlış istiqamətə yönləndirilməsini hədəfləyən kiberhücum növüdür. Bu hücumun əsas məqsədi texniki sistemlərə birbaşa müdaxilə etmək deyil, süni intellektin daxili qaydalarını və məhdudiyyətlərini nəzərə almadan nəzərdə tutulmayan davranışlar icra etməsinə şərait yaratmaqdır.

Prompt Injection hücumları aşağıdakı mənfi nəticələrə səbəb ola bilər:

Məxfi məlumatların açıqlanması,

Daxili prosedur və nəzarət mexanizmlərinin pozulması,

Yanlış hüquqi və ya texniki tövsiyələrin verilməsi,

Avtomatlaşdırılmış qərarların səhv istiqamətdə icrası,

Təşkilatın nüfuzuna və etibarına zərər vurulması.

Qorunma tədbirləri:

  • İstifadəçi daxilolmalarının və mətn mənbələrinin ciddi şəkildə yoxlanılması,  
    • Süni intellektə ötürülən məlumatların həcminin və məzmununun Məhdudlaşdırılması,  
      • Məxfi və kritik əməliyyatlar üçün əlavə təsdiq mexanizmlərinin tətbiqi,  
        • Süni intellekt tərəfindən yaradılan cavabların nəzarət və jurnal mexanizmləri vasitəsilə izlənilməsi,  
          • Süni intellekt sistemlərinin müstəqil qərarvermə səlahiyyətlərinin məhdudlaşdırılması,  
            • Kibermaariflənmənin artırılması, süni intellekt sistemlərindən təhlükəsiz istifadə və mövcud risklər barədə mütəmadi məlumatlandırmanın təmin edilməsi.  

Süni intellekt texnologiyalarından istifadə edən qurumlar riskləri əvvəlcədən qiymətləndirməli, sistemlərini müvafiq texniki və təşkilati nəzarət mexanizmləri ilə təmin etməli, həmçinin təhlükəsizliyin davamlı qorunması məqsədilə süni intellekt həllərinin istifadəsini mütəmadi olaraq nəzərdən keçirərək təhlükəsizlik siyasətlərini aktual saxlamalıdırlar.

Unutmayın: Sisteminizdə aşkar boşluq olmasa belə, onun işləmə forması zamanı buraxdığı izlər kibercinayətkarlar üçün kifayət edə bilər. Təhlükəsizlik yalnız kod və texnologiya ilə deyil, həm də düzgün bilik və davranış mədəniyyəti ilə təmin olunur.

CYBERSIGN, şirkətlər üçün Kiber təhlükəsizlik maarifləndirmə təlimlərinin təşkili və şirkət təhlükəsizliyinin təmin edilməsi üçün kiber təhlükəsizlik xidmətlərini təklif edir.